Berechtigungen für Exportaufträge einrichten - AWS HealthLake

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Berechtigungen für Exportaufträge einrichten

Bevor Sie Dateien aus einem Datenspeicher exportieren, müssen Sie die HealthLake Erlaubnis für den Zugriff auf Ihren Ausgabe-Bucket in Amazon S3 erteilen. Um HealthLake Zugriff zu gewähren, erstellen Sie eine IAM Servicerolle für HealthLake, fügen der Rolle eine Vertrauensrichtlinie hinzu, um Rollenübernahmeberechtigungen zu gewähren HealthLake , und fügen der Rolle eine Berechtigungsrichtlinie hinzu, die ihr Zugriff auf Ihren Amazon S3 S3-Bucket gewährt.

Wenn Sie bereits eine Rolle für HealthLake in erstellt habenBerechtigungen für Importjobs einrichten, können Sie sie wiederverwenden und ihr die in diesem Thema aufgeführten zusätzlichen Berechtigungen für Ihren Amazon S3 S3-Exportbucket gewähren. Weitere Informationen zu IAM Rollen und Vertrauensrichtlinien finden Sie unter IAMRichtlinien und Berechtigungen.

Wichtig

HealthLake SDKExportanfragen mithilfe von StartFHIRExportJob API Operation und FHIR REST API Exportanfragen mithilfe von StartFHIRExportJobWithPost API Operation haben separate IAM Aktionen. Für jede IAM Aktion, SDK Export mit StartFHIRExportJob und FHIR REST API Export mitStartFHIRExportJobWithPost, können Berechtigungen zum Erlauben/Verweigern separat behandelt werden. Wenn Sie möchten, dass SDK sowohl FHIR REST API Exporte als auch Exporte eingeschränkt werden, stellen Sie sicher, dass Sie für jede IAM Aktion die entsprechenden Berechtigungen verweigern. Wenn Sie Benutzern vollen Zugriff auf gewähren HealthLake, sind keine Änderungen der IAM Benutzerberechtigungen erforderlich.

Der Benutzer oder die Rolle, der bzw. die die Berechtigungen einrichtet, muss berechtigt sein, Rollen zu erstellen, Richtlinien zu erstellen und Richtlinien an Rollen anzuhängen. Die folgende IAM Richtlinie gewährt diese Berechtigungen.

{
  "Version": "2012-10-17",
  "Statement": [{
    "Action": ["iam:CreateRole", "iam:CreatePolicy", "iam:AttachRolePolicy"],
    "Effect": "Allow",
    "Resource": "*"
    }, {
    "Action": "iam:PassRole"
    "Effect": "Allow",
    "Resource": "*",
    "Condition": {
      "StringEquals": {
        "iam:PassedToService": "healthlake.amazonaws.com"
      }
    }
  }]
}
Um Exportberechtigungen einzurichten

  1. Falls dies noch nicht geschehen ist, erstellen Sie einen Amazon S3 S3-Ziel-Bucket für die Daten, die Sie aus Ihrem Datenspeicher exportieren möchten. Der Amazon S3 S3-Bucket muss sich in derselben AWS Region wie der Service befinden, und Block Public Access muss für alle Optionen aktiviert sein. Weitere Informationen finden Sie unter Blockieren des öffentlichen Zugriffs mit Amazon S3. Für die Verschlüsselung muss auch ein Amazon-eigener oder kundeneigener KMS Schlüssel verwendet werden. Weitere Informationen zur Verwendung von KMS Schlüsseln finden Sie unter Amazon Key Management Service.

  2. Falls Sie dies noch nicht getan haben, erstellen Sie eine Datenzugriffs-Servicerolle für HealthLake und erteilen Sie dem HealthLake Service die Erlaubnis, diese zu übernehmen. Beachten Sie dabei die folgende Vertrauensrichtlinie. HealthLake verwendet dies, um den Amazon S3 S3-Ausgabe-Bucket zu schreiben. Wenn Sie bereits einen in erstellt habenBerechtigungen für Importjobs einrichten, können Sie ihn wiederverwenden und ihm im nächsten Schritt Berechtigungen für Ihren Amazon S3 S3-Bucket erteilen. 

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "Service": ["healthlake.amazonaws.com"]
        },
        "Action": "sts:AssumeRole",
        "Condition": {
            "StringEquals": {
                "aws:SourceAccount": "your-account-id"
            },
            "ArnEquals": {
                "aws:SourceArn": "arn:aws:healthlake:us-west-2:account:datastore/fhir/data store ID"
            }
        }
    }]
}

  3. Fügen Sie der Datenzugriffsrolle eine Berechtigungsrichtlinie hinzu, die ihr den Zugriff auf Ihren Amazon S3 S3-Ausgabe-Bucket ermöglicht. amzn-s3-demo-bucketErsetzen Sie es durch den Namen Ihres Buckets.

    {
    "Version": "2012-10-17",
    "Statement": [{
        "Action": [
            "s3:ListBucket",
            "s3:GetBucketPublicAccessBlock",
            "s3:GetEncryptionConfiguration"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-source-bucket"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "s3:PutObject"
        ],
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-logging-bucket/*"
        ],
        "Effect": "Allow"
    },
    {
        "Action": [
            "kms:DescribeKey",
            "kms:GenerateDataKey*"
        ],
        "Resource": [
            "arn:aws:kms:us-east-1:012345678910:key/d330e7fc-b56c-4216-a250-f4c43ef46e83"
        ],
        "Effect": "Allow"
    }]
}